Datenschutz zwischen Europa und den USA
Seit dem Schrems-II-Urteil im Juli 2020 hat sich viel in der Welt des Datenschutzes geändert. Bis dahin existierte der sogenannte Privacy Shield. Dieser regelte die Erhebung von personenbezogenen Daten durch Unternehmen in Drittländern, wobei er besonders ein wichtiges Werkzeug für US-Unternehmen war.
Da der europäische Markt für amerikanische Tech-Unternehmen unheimlich wichtig ist, wurde als Reaktion darauf ein neues Abkommen zwischen den Großmächten verhandelt.
Die EU-Kommission und der US-Präsident Joe Biden verkündeten am 25.03.2022, dass das Trans-Atlantic Data Privacy Framework zukünftig für den Schutz personenbezogener Daten von EU-Bürgern sorgen soll.
Nun stellen sich folgende Fragen:
Warum war das notwendig? Was ändert sich damit?
Warum war das Abkommen nötig?
Was genau machte diese Änderung denn überhaupt notwendig?
Nun wie bereits erwähnt war das Schrems-II-Urteil ein entscheidender Wendepunkt in Sachen Datenschutz zwischen den USA und der EU.
Damals, am 16. Juli 2020 entschied der Europäische Gerichtshof, dass personenbezogene Daten, die in die Staaten transferiert werden, nicht ausreichend geschützt werden.
Die Daten werden auf Servern in den USA gespeichert und können aufgrund der Rechtslage leicht von US-Behörden in Anspruch genommen werden, was nicht im Sinne der Europäischen Datenschutzgrundverordnung ist. Der bisher bestehende „Privacy Shield“ war somit, für amerikanische Unternehmen, kein ausreichendes Mittel mehr, die Daten der EU-Bürger zu erheben.
Was änderte sich?
Was änderte sich unmittelbar nach dem EuGH-Urteil von 2020?
Die EU führte sogenannte Standardvertragsklauseln ein, die die vom EuGH kritisierten Inhalte, überarbeiten sollten. Diese sicherten konkret Folgendes:
-Keine Behinderung der Standardvertragsklauseln (SVK) durch die Rechtslage in Drittländern
-Ermöglichung des Datentransfers in Drittländer, ohne eine gesonderte Vereinbarung zu benötigen
-Auch keine Verhinderung der Einhaltung der SVK durch lokale Gesetze etc.
-Zusätzliche Informationen bezüglich der Verarbeitung (Häufigkeit, Rechtsgrundlage etc.)
Im Juni 2021 wurden die SVK in Kraft gesetzt. Die EU hat außerdem auch einen Leitfaden veröffentlicht, der in fünf Stufen erklärt, wie die Datenübermittlung in Drittländer DSGVO-konform abzuwickeln ist.
Die Anwendung der SVK ist als allgemeiner Anwendungsmaßstab zu sehen und bezieht sich auf den Datenaustausch zwischen der EU und jedem möglichen Drittland. Sie machen also das, was zuvor eigentlich Aufgabe des Privacy Shield war. Die Standardvertragsklauseln finden bis heute Anwendung und sichern die sensiblen Daten der EU-Bürger.
Neues Abkommen mit den USA
Das, wie eingangs erwähnt, Trans-Atlantic Data Privacy Framework gilt lediglich zwischen den USA und der Union, also neben der Volksrepublik China, für zwei der drei größten Binnenmärkte der Welt.
In Anbetracht dessen wird deutlich, wie wichtig das neue Abkommen ist und für wie viele Menschen es von Bedeutung ist.
Die Kommissionschefin Ursula von der Leyen und der Präsident Joe Biden verkündeten, dass eine grundsätzliche Einigung darüber getroffen wurde, dass EU-Bürger mehr Rechte erhalten sollen. Zudem sollen die US-Geheimdienste keinen allzu leichten Zugang mehr zu den so wertvollen und begehrten Daten haben. Das soll Grundlage des künftigen Abkommens sein und den Markt zwischen den westlichen Mächten begünstigen und erleichtern.
Inhalte des neuen Abkommens
Da das neue Abkommen noch immer nicht vorliegt, stellt sich die Frage, was genau denn die Inhalte sein werden, die das Ziel des Datenschutzes verfolgen sollen:
-Es sollen konkrete, neue Mechanismen für Überprüfung und Überwachung geschaffen werden.
-Neue Normen sollen den Zugriff der US-Behörden auf personenbezogene Daten erschweren, wobei zusätzlich Verfahren durch amerikanische Nachrichtendienste eingeführt werden sollen, die den Schutz der Daten auch wirklich sichern. Die Verhältnismäßigkeit und Notwendigkeit für die „nationale Sicherheit“ sollen für den Zugriff auf die Daten eine zentrale Rolle spielen.
-Es soll ein neues Rechtsbehelfssystem eingeführt werden, das zwei Stufen umfasst und Europäern die Möglichkeit bieten soll, ihre Rechte einzuklagen.
-Auch für US-Unternehmen soll es strenge Auflagen für die Verarbeitung der sensiblen Daten der EU-Bürger geben.
Wie dies konkret aussehen wird, ist bisher noch unklar, wobei zu hoffen bleibt, dass die Inhalte auch wirklich halten werden, was sie versprechen. Tatsache ist, dass die US-Gesetze nicht den europäischen Sicherheitsstandards genügen.
Fazit
US-Unternehmen wie Google oder Meta sind Datenkranken, denn Daten sind der Schlüssel zur Beherrschung des Marktes. Somit ist der Wille an die personenbezogenen Daten der EU-Bürger zu kommen natürlich groß. Doch auch für US-Geheimdienste ist die Verlockung groß, an die Daten zu gelangen. Die Rechtslage in den Vereinigten Staaten sichert den Datenschutz der Unionsbürger nicht in ausreichendem Maße und ermöglicht den Geheimdiensten leicht Zugang zu den Daten. Das ist der zentrale Punkt, den der EuGH auch in seinem Urteil kritisierte. Denn die USA nehmen den Datenschutz nicht so ernst wie die EU, wobei es aktuell auch nicht den Anschein macht, als würde sich etwas an der momentanen Rechtslage ändern.
Vielleicht sichert das neue Abkommen wirklich mehr Rechte für die EU-Bürger, jedoch wird eine Erleichterung des Datenflusses nicht möglich sein, wenn nicht auch die USA ihre Rechtslage anpasst. Die Hoffnung, dass das EuGH-Urteil Schrems-II und die DSGVO, also die Rechtslage und Rechtsprechung in Europa auch zu einer Sensibilisierung dieses Thema in den United States führt, bleibt jedoch.
Die Immerce GmbH ist die Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für ihre Kunden Suchmaschinenoptimierung. Seit 2018 ist mit der Einführung der DSGVO der Geschäftsbereich betreuen wir unsere Kunden zusätzlich in den Bereichen Datenschutz & IT-Sicherheit.
Kontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
08323-209 99 43
muens@immerce.de
https://www.immerce-consulting.de
Die Bildrechte liegen bei dem Verfasser der Mitteilung.